Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

[RESOLU] Grande attaque de virus

 

Labbaipierre
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

[RESOLU] Grande attaque de virus

Prévenir les modérateurs en cas d'abus 
kamali23
kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 00:43:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 Alors que je surfais tranquillement sur internet, que le premier virus apparait, signalé par Avaste, mine de rien, je continue, tranquillement !

 2mn après, un autre apparait sous le nom c:/k et d:/k ... je supprime avec avast...mais après, j'ai des virus qui se détectent un après l'autre et SANS arrêt, je redemarre le pc et fais une analyse avec avast, et j'ai peut etre fait la connerie de "supprimer tout" des fichiers du system32 étaient affectés, pour le moment, le pc marche, mais quand je veux accéder à C: ou D: j'ai le message suivant :
 http://img401.imageshack.us/im​g401/891/virusjv2.th.jpg

 Puis ensuite celui là :

 http://img503.imageshack.us/im​g503/6335/virus2bx9.th.jpg

 Avaste est incapable de régler le souci, à chaque il me demande de faire l'analyse, une fois terminé, il me redemande une autre analyse et ça continue comme ça ...

 J'ai besoin de votre expertise pour m'aider à désinfecter mon PC.

 Cordialement, Kamal

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 00:47:55  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Bon, on va trouver le bobo :

 Télécharge Hijackthis V 2.02 sur le bureau :

 http://www.trendsecure.com/por [...] nstall.exe


 - Double clique sur HJTInstall.exe sur le bureau

 - Clique sur Install ensuite sur I Accept

 - fermer toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).

 - lancer HJT et clic sur Do a system scan and save a logfile

 - une fenêtre Notepad s'ouvre : (Ctrl-A) pour sélectionner tout le texte, (Ctrl-C) pour le copier dans le presse papier.

 - mettre le texte dans un post ci-dessous (Ctrl-V) pour analyse


 @++

(Publicité)
kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 01:22:34  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir dédétraqué,

 voici le rapport :


 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 01:22:00, on 17/07/2008
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\Ati2evxx.e​xe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 C:\Program Files\Alwil Software\Avast4\ashServ.exe
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\Ati2evxx.e​xe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\SOUNDMAN.EXE
 C:\PROGRA~1\ALWILS~1\Avast4\as​hDisp.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
 C:\Program Files\Mozilla Firefox\firefox.exe
 C:\Program Files\Trend Micro\HijackThis\HijackThis.ex​e

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://mail.google.com/mail/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R1 - HKCU\Software\Microsoft\Intern​et Connection Wizard,ShellNext = https://login.live.com/ppsecur [...] rf?lc=1036
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
 O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F99​7BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-51647​60863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130E​EDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.​DLL
 O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a34​6672a24} - mscoree.dll (file missing)
 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as​hDisp.exe
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
 O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
 O4 - HKUS\S-1-5-21-1547161642-17155​67821-682003330-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Majda')
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Startup: Cme.lnk = C:\Program Files\Change Mon Ecran\Change Mon Ecran.exe
 O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
 O4 - Global Startup: DSLMON.lnk = ?
 O8 - Extra context menu item: Ajouter à Change Mon Ecran - c:\windows\CmeIE.htm
 O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lo​okup.js
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFF​ICE11\EXCEL.EXE/3000
 O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/tr​anslate.js
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B1​90E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E​0DC46EF} - http://www.touslesdrivers.com/ [...] b?version=
 O16 - DPF: {E8F628B5-259A-4734-97EE-BA914​D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O17 - HKLM\System\CS2\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C​7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKY​PE4~1.DLL
 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.e​xe
 O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
 O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1​1\Intel 32\IDriverT.exe
 O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
 O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\system32\ZipToA.exe

 --
 End of file - 6920 bytes

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 01:33:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Télécharge combofix.exe (de sUBs) sur le bureau :

 http://download.bleepingcomput [...] mboFix.exe


 Double clique combofix.exe tape 1 valide par Entrée pour lancer le scan

 Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

 NOTE : Le rapport se trouve également ici : C:\Combofix.txt

 Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif

 N'en tiens pas compte continue la procédure


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 02:19:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
ComboFix 08-07-15.4 -  2008-07-17  1:39:39.1 - NTFSx86
 Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.209 [GMT 1:00]
 Endroit: C:\Documents and Settings\\Bureau\ComboFix.exe
 * Création d'un nouveau point de restauration

 AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
 .

 ((((((((((((((((((((((((((((((​((((((   Autres suppressions   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .

 C:\autorun.inf
 C:\WINDOWS\config.ini
 C:\WINDOWS\system32\kavo.exe

 .
 ((((((((((((((((((((((((((((((​(((((((((   Drivers/Services   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .

 -------\Legacy_{DEF85C80-216A-​43AB-AF70-1665EDBE2780}
 -------\Service_{DEF85C80-216A​-43ab-AF70-1665EDBE2780}


 (((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-06-17 to 2008-07-17  ))))))))))))))))))))))))))))))​))))))
 .

 2008-07-17 01:21 . 2008-07-17 01:21 <REP> d-------- C:\Program Files\Trend Micro
 2008-07-16 15:11 . 2008-07-16 15:11 135,446 -r-hs---- C:\31n3b2h.exe
 2008-07-14 14:31 . 2008-07-16 13:51 <REP> d-------- C:\Documents and Settings\\Application Data\skypePM
 2008-07-14 14:31 . 2008-07-14 14:31 56 --ah----- C:\WINDOWS\system32\ezsidmv.da​t
 2008-07-14 14:29 . 2008-07-16 14:58 <REP> d-------- C:\Documents and Settings\\Application Data\Skype
 2008-07-14 14:28 . 2008-07-14 14:28 <REP> d-------- C:\Program Files\Skype
 2008-07-14 14:28 . 2008-07-14 14:28 <REP> d-------- C:\Program Files\Fichiers communs\Skype
 2008-07-14 14:28 . 2008-07-14 14:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype

 .
 ((((((((((((((((((((((((((((((​((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2008-07-16 18:01 --------- d-----w C:\Documents and Settings\\Application Data\uTorrent
 2008-07-10 18:02 --------- d-----w C:\Program Files\KONAMI
 2008-07-10 18:01 --------- d-----w C:\Program Files\PowerArchiver
 2008-06-29 03:09 559 ----a-w C:\subafsfile0.bin
 2008-06-29 03:09 1,552 ----a-w C:\bin0.bin
 2008-06-22 13:04 --------- d-----w C:\Program Files\Change Mon Ecran
 2008-06-12 11:58 --------- d-----w C:\Documents and Settings\\Application Data\dvdcss
 2008-06-06 21:37 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
 2008-05-22 00:57 --------- d-----w C:\Program Files\Radio Fr Solo
 2007-02-25 11:28 10,856 --sha-w C:\WINDOWS\system32\KGyGaAvL.s​ys
 .

 ------- Sigcheck -------

 2004-08-05 13:00  1220096  de43b7f2d8b37ca03f7794bb7f3275​f7 C:\WINDOWS\ie7\wininet.dll
 2006-10-17 14:33  809472  5a47554eba4ce3caf2859013522c69​a7 C:\WINDOWS\system32\wininet.dl​l
 2006-10-17 14:33  809472  5a47554eba4ce3caf2859013522c69​a7 C:\WINDOWS\system32\dllcache\w​ininet.dll

 2004-08-05 13:00  978432  9f3b76c8cf787449a47f05abab4e13​e6 C:\WINDOWS\explorer.exe
 2004-08-05 13:00  978432  9f3b76c8cf787449a47f05abab4e13​e6 C:\WINDOWS\system32\dllcache\e​xplorer.exe
 .
 ((((((((((((((((((((((((((((((​(((   Point de chargement Reg   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .
 .
 REGEDIT4
 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "ctfmon.exe"="C:\WINDOWS\syste​m32\ctfmon.exe" [2004-08-05 13:00 15360]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "SoundMan"="SOUNDMAN.EXE" [2004-11-15 11:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

 [HKEY_USERS\.DEFAULT\Software\M​icrosoft\Windows\CurrentVersio​n\Run]
 "CTFMON.EXE"="C:\WINDOWS\syste​m32\CTFMON.EXE" [2004-08-05 13:00 15360]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center]
 "AntiVirusDisableNotify"=dword​:00000001
 "UpdatesDisableNotify"=dword:0​0000001

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\AuthorizedApplicati​ons\List]
 "%windir%\\system32\\sessmgr.e​xe"=
 "E:\\Utorrent\\utorrent.exe"=
 "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
 "C:\\Program Files\\uTorrent\\uTorrent.exe"​=
 "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueS​oleil.exe"=
 "E:\\BearShare\\BearShare.exe"​=
 "C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
 "C:\\Program Files\\Windows Live\\Messenger\\WLM 8.5.exe"=
 "C:\\Program Files\\Radio Fr Solo\\Radio_Fr_Solo.exe"=
 "C:\\Program Files\\Messenger\\msmsgs.exe"=
 "E:\\eMule\\emule.exe"=
 "C:\\Documents and Settings\\Majda\\Bureau\\WLM 8.5.exe"=
 "C:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=
 "C:\\Program Files\\Skype\\Phone\\Skype.exe​"=

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\GloballyOpenPorts\L​ist]
 "1700:TCP"= 1700:TCP:MioNet Remote Drive Access
 "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

 R0 ppa;Pilote de filtre de port parallèle Iomega;C:\WINDOWS\system32\DRI​VERS\ppa.sys [2001-08-17 22:53]
 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32​\drivers\aswSP.sys [2008-05-16 00:20]
 R2 aswFsBlk;aswFsBlk;C:\WINDOWS\s​ystem32\DRIVERS\aswFsBlk.sys [2008-05-16 00:16]
 S1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.252\ATI Tray Tools\atitray.sys []
 S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVER​S\usbscan.sys [2004-08-03 23:58]
 S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVER​S\USBSTOR.SYS [2004-08-04 00:08]

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​explorer\mountpoints2\{41a55de​0-5422-11dc-b79e-4d6564696130}​]
 \Shell\AutoRun\command - G:\31n3b2h.exe
 \Shell\explore\Command - G:\31n3b2h.exe
 \Shell\open\Command - G:\31n3b2h.exe

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​explorer\mountpoints2\{5300d26​4-4cf1-11dd-b9e3-4d6564696130}​]
 \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.E​XE Shell32.DLL,ShellExec_RunDLL systems.com
 \Shell\read\command - explorer.exe
 \Shell\start\command - G:\systems.com
 .
 - - - - ORPHANS REMOVED - - - -

 HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe


 ******************************​******************************​**************

 catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2008-07-17 01:52:29
 Windows 5.1.2600 Service Pack 2 NTFS

 Balayage processus cach‚s ...

 Balayage cach‚ autostart entries ...

 Balayage des fichiers cach‚s ...


 ******************************​******************************​**************
 .
 --------------------- DLLs a charg‚ sous des processus courants ---------------------

 PROCESS: C:\WINDOWS\system32\winlogon.e​xe
 -> C:\WINDOWS\system32\Ati2evxx.d​ll
 .
 ------------------------ Other Running Processes ------------------------
 .
 C:\WINDOWS\system32\ati2evxx.e​xe
 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 C:\Program Files\Alwil Software\Avast4\ashServ.exe
 C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 C:\WINDOWS\system32\ati2evxx.e​xe
 C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 .
 ******************************​******************************​**************
 .
 Temps d'accomplissement: 2008-07-17  2:15:33 - machine was rebooted
 ComboFix-quarantined-files.txt  2008-07-17 01:14:28

 Pre-Run: 7,367,634,944 octets libres
 Post-Run: 8,004,669,440 octets libres

 125

(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 02:36:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 - Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

 - Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

 



 Registry::
 [-HKEY_CURRENT_USER\software\mi​crosoft\windows\currentversion​\explorer\mountpoints2\{41a55d​e0-5422-11dc-b79e-4d6564696130​}]

 File::
 C:\31n3b2h.exe
 C:\WINDOWS\system32\ezsidmv.da​t





 - Enregistre ce fichier sur le bureau (Impératif)

 -Nom du fichier : CFScript.txt
 -Type du fichier : tous les fichiers

 - Clique sur Enregistrer et quitte le Bloc Notes


 - Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture :

 http://i261.photobucket.com/al​bums/ii49/Malekal_morte/CFScri​pt.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


 Avec ce rapport, poste moi un nouveau rapport HijackThis


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 03:06:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
ComboFix 08-07-15.4 - 08-07-17  2:45:35.2 - NTFSx86
 Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.131 [GMT 1:00]u\ComboFix.exe
 * Création d'un nouveau point de restauration

 AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 FILE ::
 C:\31n3b2h.exe
 C:\WINDOWS\system32\ezsidmv.da​t
 .

 ((((((((((((((((((((((((((((((​((((((   Autres suppressions   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .

 C:\31n3b2h.exe
 C:\WINDOWS\system32\ezsidmv.da​t

 .
 (((((((((((((((((((((((((((((   Fichiers créés 2008-06-17 to 2008-07-17  ))))))))))))))))))))))))))))))​))))))
 .

 2008-07-17 01:21 . 2008-07-17 01:21 <REP> d-------- C:\Program Files\Trend Micro
 2008-07-14 14:31 . 2008-07-16 13:51 <REP> d-------- C:\Dpplication Data\skypePM
 2008-07-14 14:29 . 2008ication Data\Skype
 2008-07-14 14:28 . 2008-07-14 14:28 <REP> d-------- C:\Program Files\Skype
 2008-07-14 14:28 . 2008-07-14 14:28 <REP> d-------- C:\Program Files\Fichiers communs\Skype
 2008-07-14 14:28 . 2008-07-14 14:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype

 .
 ((((((((((((((((((((((((((((((​((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2008-07-16 18:01 --------- d-----w C:\Documents and Settings\Data\uTorrent
 2008-07-10 18:02 --------- d-----w C:\Program Files\KONAMI
 2008-07-10 18:01 --------- d-----w C:\Program Files\PowerArchiver
 2008-06-29 03:09 559 ----a-w C:\subafsfile0.bin
 2008-06-29 03:09 1,552 ----a-w C:\bin0.bin
 2008-06-22 13:04 --------- d-----w C:\Program Files\Change Mon Ecran
 2008-06-12 11:58 --------- d-----w C:\Documents and Settings\n Data\dvdcss
 2008-06-06 21:37 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
 2008-05-22 00:57 --------- d-----w C:\Program Files\Radio Fr Solo
 2007-02-25 11:28 10,856 --sha-w C:\WINDOWS\system32\KGyGaAvL.s​ys
 .

 ------- Sigcheck -------

 2004-08-05 13:00  1220096  de43b7f2d8b37ca03f7794bb7f3275​f7 C:\WINDOWS\ie7\wininet.dll
 2006-10-17 14:33  809472  5a47554eba4ce3caf2859013522c69​a7 C:\WINDOWS\system32\wininet.dl​l
 2006-10-17 14:33  809472  5a47554eba4ce3caf2859013522c69​a7 C:\WINDOWS\system32\dllcache\w​ininet.dll

 2004-08-05 13:00  978432  9f3b76c8cf787449a47f05abab4e13​e6 C:\WINDOWS\explorer.exe
 2004-08-05 13:00  978432  9f3b76c8cf787449a47f05abab4e13​e6 C:\WINDOWS\system32\dllcache\e​xplorer.exe
 .
 ((((((((((((((((((((((((((((((​(((   Point de chargement Reg   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .
 .
 REGEDIT4
 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "ctfmon.exe"="C:\WINDOWS\syste​m32\ctfmon.exe" [2004-08-05 13:00 15360]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "SoundMan"="SOUNDMAN.EXE" [2004-11-15 11:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

 [HKEY_USERS\.DEFAULT\Software\M​icrosoft\Windows\CurrentVersio​n\Run]
 "CTFMON.EXE"="C:\WINDOWS\syste​m32\CTFMON.EXE" [2004-08-05 13:00 15360]

 C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
 DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-07-22 01:26:20 839680]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center]
 "AntiVirusDisableNotify"=dword​:00000001
 "UpdatesDisableNotify"=dword:0​0000001

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\AuthorizedApplicati​ons\List]
 "%windir%\\system32\\sessmgr.e​xe"=
 "E:\\Utorrent\\utorrent.exe"=
 "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
 "C:\\Program Files\\uTorrent\\uTorrent.exe"​=
 "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueS​oleil.exe"=
 "E:\\BearShare\\BearShare.exe"​=
 "C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
 "C:\\Program Files\\Windows Live\\Messenger\\WLM 8.5.exe"=
 "C:\\Program Files\\Radio Fr Solo\\Radio_Fr_Solo.exe"=
 "C:\\Program Files\\Messenger\\msmsgs.exe"=
 "E:\\eMule\\emule.exe"=
 "C:\\Documents and Settings\\Majda\\Bureau\\WLM 8.5.exe"=
 "C:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=
 "C:\\Program Files\\Skype\\Phone\\Skype.exe​"=

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\GloballyOpenPorts\L​ist]
 "1700:TCP"= 1700:TCP:MioNet Remote Drive Access
 "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

 R0 ppa;Pilote de filtre de port parallèle Iomega;C:\WINDOWS\system32\DRI​VERS\ppa.sys [2001-08-17 22:53]
 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32​\drivers\aswSP.sys [2008-05-16 00:20]
 R2 aswFsBlk;aswFsBlk;C:\WINDOWS\s​ystem32\DRIVERS\aswFsBlk.sys [2008-05-16 00:16]
 S1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.252\ATI Tray Tools\atitray.sys []
 S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVER​S\usbscan.sys [2004-08-03 23:58]
 S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVER​S\USBSTOR.SYS [2004-08-04 00:08]

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​explorer\mountpoints2\{5300d26​4-4cf1-11dd-b9e3-4d6564696130}​]
 \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.E​XE Shell32.DLL,ShellExec_RunDLL systems.com
 \Shell\read\command - explorer.exe
 \Shell\start\command - G:\systems.com
 .
 ******************************​******************************​**************

 catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2008-07-17 02:49:13
 Windows 5.1.2600 Service Pack 2 NTFS

 Balayage processus cachés ...

 Balayage caché autostart entries ...

 Balayage des fichiers cachés ...


 ******************************​******************************​**************
 .
 --------------------- DLLs a chargé sous des processus courants ---------------------

 PROCESS: C:\WINDOWS\system32\winlogon.e​xe
 -> C:\WINDOWS\system32\Ati2evxx.d​ll
 .
 Temps d'accomplissement: 2008-07-17  3:04:37
 ComboFix-quarantined-files.txt  2008-07-17 02:03:33
 ComboFix2.txt  2008-07-17 01:15:34

 Pre-Run: 7,983,501,312 octets libres
 Post-Run: 7,969,742,848 octets libres

 107

 __________________

 PS : Juste une remarque, quand le pc redémarre, l'antivirus ne se lance pas (et bien d'autre applications que je programme au démarrage)

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 03:11:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 On verra cela plus tard après la désinfection, poste moi un nouveau rapport HijackThis


 @++

(Publicité)
kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 03:17:55  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
ah désolé j'avais pas vu

 le voila :

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 03:17, on 2008-07-17
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\Ati2evxx.e​xe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 C:\Program Files\Alwil Software\Avast4\ashServ.exe
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\Ati2evxx.e​xe
 C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\SOUNDMAN.EXE
 C:\WINDOWS\system32\ctfmon.exe
 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
 C:\Program Files\Mozilla Firefox\firefox.exe
 C:\WINDOWS\explorer.exe
 C:\Program Files\Trend Micro\HijackThis\HijackThis.ex​e

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://mail.google.com/mail/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R1 - HKCU\Software\Microsoft\Intern​et Connection Wizard,ShellNext = https://login.live.com/ppsecur [...] rf?lc=1036
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
 O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F99​7BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-51647​60863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130E​EDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.​DLL
 O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a34​6672a24} - mscoree.dll (file missing)
 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
 O8 - Extra context menu item: Ajouter à Change Mon Ecran - c:\windows\CmeIE.htm
 O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lo​okup.js
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFF​ICE11\EXCEL.EXE/3000
 O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/tr​anslate.js
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B1​90E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E​0DC46EF} - http://www.touslesdrivers.com/ [...] b?version=
 O16 - DPF: {E8F628B5-259A-4734-97EE-BA914​D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O17 - HKLM\System\CS2\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O17 - HKLM\System\CS3\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C​7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKY​PE4~1.DLL
 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.e​xe
 O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
 O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1​1\Intel 32\IDriverT.exe
 O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
 O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\system32\ZipToA.exe

 --
 End of file - 6411 bytes

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 03:23:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut  kamali23


 - Imprime ces instructions, il va y avoir un redémarrage de l'ordinateur

 1/

 - Télécharge FixWareout  sur le bureau:
 http://www.bleepingcomputer.co [...] areout.exe
 http://downloads.subratam.org/Fixwareout.exe
 http://swandog46.geekstogo.com/Fixwareout.exe


 -Télécharge Winsockfix sur le bureau :
 http://www.softpedia.com/get/T [...] kFix.shtml
 http://www.snapfiles.com/get/winsockxpfix.html

 (Pour son utilisation voir en fin de procédure)




 2/

 - Navigateur ainsi que toutes les applications en cours fermés
 - Double clic sur Fixwareout.exe

 - Clique sur Next puis Install

 - Assure toi que Run fixit est activé puis clique sur Finish

 - Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

 - Ton système mettra un peu plus de temps au démarrage, c'est normal.

 - Quand ton système aura redémarré, suivre les invites des messages.


 - A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.



 3/

 - Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis


 ** Note : En cas de perte de connexion, lance  Winsockfix
 - clique sur ReG-Backup pour créer une sauvegarde du registre, dans un dossier de ton choix.

 - Une fois la sauvegarde éffectuée, clique sur Fix , au message WinsockFix will now attempt to Repair your connection Clique sur  "OUI"

 - Patiente le temps que la réparation se fasse,à la fin des corrections au méssage suivant Repair completed Please Reboot , cliques sur OK ton Pc va redémarrer.

 - Je le répéte n'utilise Winsockfix que si tu as une perte de connection


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 03:38:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Username " - 2008-07-17  3:33:12 [Fixwareout edited 9/01/2007]

 ~~~~~ Prerun check

 Cache de résolution DNS vidé.


 System was rebooted successfully.

 ~~~~~ Postrun check
 HKLM\SOFTWARE\~\Winlogon\ "System"=""
 ....
 ....
 ~~~~~ Misc files.
 ....
 ~~~~~ Checking for older varients.
 ....

 ~~~~~ Current runs (hklm hkcu "run" Keys Only)
 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\run]
 "SoundMan"="SOUNDMAN.EXE"

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "ctfmon.exe"="C:\\WINDOWS\\sys​tem32\\ctfmon.exe"
 ....
 Hosts file was reset, If you use a custom hosts file please replace it...
 ~~~~~ End report ~~~~~







 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 03:38, on 2008-07-17
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\Ati2evxx.e​xe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 C:\Program Files\Alwil Software\Avast4\ashServ.exe
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\Ati2evxx.e​xe
 C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 C:\WINDOWS\Explorer.EXE
 C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\WINDOWS\system32\notepad.ex​e
 C:\WINDOWS\SOUNDMAN.EXE
 C:\WINDOWS\system32\ctfmon.exe
 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
 C:\Program Files\Mozilla Firefox\firefox.exe
 C:\Program Files\Trend Micro\HijackThis\HijackThis.ex​e

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://mail.google.com/mail/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R1 - HKCU\Software\Microsoft\Intern​et Connection Wizard,ShellNext = https://login.live.com/ppsecur [...] rf?lc=1036
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
 O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F99​7BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-51647​60863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130E​EDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.​DLL
 O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a34​6672a24} - mscoree.dll (file missing)
 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
 O8 - Extra context menu item: Ajouter à Change Mon Ecran - c:\windows\CmeIE.htm
 O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lo​okup.js
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFF​ICE11\EXCEL.EXE/3000
 O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/tr​anslate.js
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv​.dll
 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B1​90E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E​0DC46EF} - http://www.touslesdrivers.com/ [...] b?version=
 O16 - DPF: {E8F628B5-259A-4734-97EE-BA914​D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O17 - HKLM\System\CS2\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O17 - HKLM\System\CS3\Services\Tcpip​\..\{1223431E-F285-4E7D-8A64-B​9437AD47A00}: NameServer = 212.217.0.14 196.217.246.210
 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C​7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKY​PE4~1.DLL
 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.e​xe
 O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
 O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtSer​vice.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1​1\Intel 32\IDriverT.exe
 O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
 O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\system32\ZipToA.exe

 --
 End of file - 6477 bytes

(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 03:45:34  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Relance Hijackthis, clique sur Do a scan system only coche la case devant les lignes suivantes

 O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a34​6672a24} - mscoree.dll (file missing)
 O8 - Extra context menu item: Ajouter à Change Mon Ecran - c:\windows\CmeIE.htm



 - Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

 - Quitte HijackThis


 -----


 On va vérifier si rien de caché :


 Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)

 - Désactive ton Antivirus durant le scan
 - En bas à droite clique sur Démarrer Online-scanner dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
 - Accepte les Contrôle ActivX

 - Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
 - Poste le rapport

 - Pour t'aider à utiliser le scan en ligne http://www.malekal.com/scan_Av [...] ocId291566
 - Si tu as un probléme pour l'installation du Contrôle ActivX lis ceci http://www.inoculer.com/activex.php3


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 11:14:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 12:19:28  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
j'ai posté le rapport , mais  je le vois pas ?

(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 12:23:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Ouin, poste-le de nouveau


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 12:35:47  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 12:41:02  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
je crois que c'est du à sa taille ?? Je le poste en 2 partie ?

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 12:46:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Poste-le en plusieurs partie


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 12:57:47  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Le fichier est très grand, donc je l'ai uploadé ICI

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 13:18:16  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Désactive la restauration système :

 - Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

 - Coche la case désactiver la restauration et applique

 Tutoriel :  http://www.libellules.ch/desac [...] ration.php


 -----


 Télécharge OTMoveIt (de Old_Timer) sur le bureau :

 http://download.bleepingcomput [...] oveIt2.exe


 Double-clique sur OTMoveIt2.exe sur le bureau


 - Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

 - Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

 



D:\31n3b2h.exe
 D:\autorun.inf
 E:\31n3b2h.exe
 E:\autorun.inf




 - Clique sur MoveIt! pour lancer la suppression.
 - Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.


 -----


 Redémarre l’ordinateur et réactive la restauration système.


 On va faire un petit nettoyage de ton PC en supprimant les utilitaires téléchargés :

 Lance OTmoveIT2 qui est sur le bureau

 Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).

 NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a Internet, Autorise le.

 Une liste apparaît dans la partie gauche d'OTmoveIT.

 Un message apparaît pour confirmer le nettoyage. Confirme.

 Tu pourras aussi supprimer tous les rapports qui on été généré lors de la désinfection.


 Refais un scan en ligne pour vérification


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 14:01:43  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Il me reste le scan à faire, hier ça m'a pris TROP de temps, donc je reposte enfin d'après midi ...

 PS : J'ai un doute concernant ma clé USB, je vais l'inclure dans le scan.

 Merci
 a++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 15:55:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Je m'en douté ... Il y'a deux infections sur C: et deux sur mon USB.

 Voici le rapport :
 http://www.sendspace.com/file/v6stux

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 16:16:44  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Toujours la clé connecté, clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

 - Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

 



 File::
 G:\31n3b2h.exe
 G:\autorun.inf





 - Enregistre ce fichier sur le bureau (Impératif)

 -Nom du fichier : CFScript.txt
 -Type du fichier : tous les fichiers

 - Clique sur Enregistrer et quitte le Bloc Notes


 - Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture :

 http://i261.photobucket.com/al​bums/ii49/Malekal_morte/CFScri​pt.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.


 On va faire un petit nettoyage de ton PC en supprimant les utilitaires téléchargés :

 Lance OTmoveIT2 qui est sur le bureau

 Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).

 NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a Internet, Autorise le.

 Une liste apparaît dans la partie gauche d'OTmoveIT.

 Un message apparaît pour confirmer le nettoyage. Confirme.

 Tu pourras aussi supprimer tous les rapports qui on été généré lors de la désinfection.


 Tu désactiveras la restauration système de nouveau, je te donne quelques consignes de sécurité :

 -  Windows Update  parfaitement à jour http://www.windowsupdate.com/ (catégories critique, Services Pack et Services Release)
 - pare-feu bien paramétré
 - antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
 - une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
 - une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
 - nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
 - scan hebdomadaire antispyware
 - un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
 - un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
 http://www.malekal.com/scan_vulnerabilite.php


 Si tu considère ton problème comme résolu, édite [:jlj:3] ton premier poste et ajoute [résolu] dans le titre.


 @++

kamali23
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2008 à 19:42:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut dédétraqué,

 Ben j'ai fait toute les démarches que tu m'a demandé, apparemment y'a plus de danger, j'ai désinstaller Avast, et j'ai mis AntiVir à sa place, on va voir ce que cela va donner ^^

 Je tiens à te présenter sonalelement mes remerciements Mr dédétraqué ;)

 Je vais me charger de mon pc portable qui, lui aussi, est protégé par Avast, c'est peut être chaud :)

 A++

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 17/07/2008 à 19:51:30  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut kamali23


 Bien de rien, passe une bonne fin de soirée


 @++

 Page :
1

Aller à :
 

Sujets relatifs
attaqué par variante win32 RESOLU [résolu]trojan dans win32 album photo 2007
[ résolu ] probléme avec virus my album 2007 galere redémarage (résolu)
[Résolu] Virus par Hotmail ??? [résolu] Origine des mails ?
Virus msn lié au fichier photos.zip pour une grande débutant virus ou autre ? malgrès le blocage trafic internet continue
Plus de sujets relatifs à : [RESOLU] Grande attaque de virus

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
virus bagle 1
ca marche avec cette anti-virus? 1
Win 32 : Trojan-gen et Rootkit-gen sur Avast. Que faire ? 23
urgent cheval de troie 7
désinstaller avast [ résolu] 9